在 Azure DevTest Labs 中的第 2 代虚拟机的受信任启动

受信任的启动提供无缝解决方案，通过防范高级和持久性攻击技术，增强第 2 代虚拟机（第 2 代）虚拟机（VM）的安全性。 此功能由多个可独立启用的协调基础结构技术组成，每个技术增加了针对复杂威胁的额外防御层。 通过受信任的启动，可以使用已验证的启动加载程序、作系统（OS）内核和驱动程序安全地部署 VM，以及保护 VM 中的密钥、证书和机密。 此外，它还提供关于整个启动链完整性的见解和信任，确保工作流受信任且可验证。

有关受信任启动的详细信息，请参阅 Azure VM 的受信任启动。

本文介绍如何在 Azure 开发测试实验室中使用第 2 代 VM 的受信任启动。

重要

第二代虚拟机的 Trusted Launch 目前在 Azure DevTest Labs 中处于预览状态。 有关预览版状态的详细信息，请参阅 Microsoft Azure 预览版的补充使用条款。 该文档定义了适用于 beta 版、预览版或其他未正式发布版本的 Azure 功能的法律条款。

为第 2 代 VM 创建具有受信任启动的实验室虚拟机

先决条件

至少需要对开发测试实验室中的实验室具有用户访问权限。 有关创建实验室的详细信息，请参阅在 Azure 门户中创建实验室。

创建具有受信任启动的第二代 VM

1. 在 Azure 门户中，转到实验室的“概述”页。

2. 在实验室的“概述”页上，选择“添加”。

   

3. 在“选择基础映像”页面上，为 VM 选择一个第 2 代映像。 映像列表中的“代”列显示它是第 1 代还是第 2 代映像。

   

4. 在“创建实验室资源”屏幕的“基本设置”选项卡上，提供以下信息：

   • 虚拟机名称：保留自动生成的名称，或者输入其他唯一的 VM 名称。
   • 用户名：保留用户名，或者输入其他用户名以授予对 VM 的管理员特权。
   • 使用已保存的机密：选中此复选框可使用 Azure Key Vault 的机密（而不是密码）来访问 VM。 如果选中此选项，请在“机密”下，从下拉列表中选择要使用的机密。 有关详细信息，请参阅在密钥保管库中存储机密。
   • 密码：如果不选择使用机密，请输入一个长度介于 8 到 123 个字符之间的 VM 密码。
   • 另存为默认密码：选中此复选框可将密码保存在与实验室关联的 Key Vault 中。
   • 虚拟机大小：保留基础映像的默认值，或选择“更改大小”以选择不同的大小。
   • 允许休眠：选择此选项可为此虚拟机启用休眠。 如果启用休眠，还必须在高级设置中选择 公共 IP 或 专用 IP 。 目前不支持 共享 IP 的休眠。
   • OS 磁盘类型：保留基础映像的默认值，或从下拉列表中选择其他选项。
   • 安全类型：选择 “受信任的启动 ”，为第 2 代 VM 启用它。 选择“受信任的启动”时，将显示“安全启动”、“vTPM”和“完整性监视”选项。 根据您的需求，从中选择适合您的部署的选项。 有关详细信息，请参阅已启用受信任启动的安全功能。
   • 项目：此字段显示已为此 VM 基础映像配置的项目数。 也可选择“添加或删除项目”，选择并配置要添加到 VM 的项目。

   

5. 配置完所有设置后，在“创建实验室资源”屏幕的“基本设置”选项卡上，选择“创建”可部署 VM。

在 VM 部署过程中，可以选择屏幕顶部的“通知”图标以查看进度。 创建 VM 需要一段时间。

部署完成后，如果你让自己始终是 VM 所有者，VM 会显示在实验室“概述”页上的“我的虚拟机”下。 若要连接到 VM，从列表中选择它，然后在 VM 的“概述”页上选择“连接”。 如果 VM 已停止，请先选择“启动”以启动 VM。